Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS"

Transcripción

1 Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) Exploración de PCI DSS

2 Modificaciones realizadas a los documentos Fecha Versión Descripción 1.º de octubre de Alinear el contenido con las nuevas PCI DSS versión 1.2 e implementar cambios menores observados desde la versión 1.1. original. Copyright 2008 PCI Security Standards Council LLC Página i

3 Índice Modificaciones realizadas a los documentos... i Prefacio... iii Elementos de los datos del titular de la tarjeta y de los datos confidenciales de autenticación... 1 Ubicación de los datos de los titulares de tarjetas y de los datos confidenciales de autenticación... 2 Datos de la pista 1 y pista relacionada para las Normas de Seguridad de Datos de la PCI... 4 para los requisitos 1 y 2: Desarrollar y mantener una red segura... 5 Requisito 1: Instale y mantenga una configuración de firewall para proteger los datos de los titulares de las tarjetas... 5 Requisito 2: No utilice los valores predeterminados que ofrece el proveedor para las contraseñas del sistema u otros parámetros de seguridad para los requisitos 3 y 4: Proteja los datos del titular de la tarjeta Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados Requisito 4: Codifique la transmisión de los datos de los titulares de tarjetas a través de redes públicas abiertas para los requisitos 5 y 6: Desarrolle un programa de administración de vulnerabilidad Requisito 5: Utilice y actualice regularmente el software o los programas antivirus Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras para los requisitos 7, 8 y 9: Implemente medidas sólidas de control de acceso Requisito 7: Restrinja el acceso a datos de titulares de tarjetas sólo a la necesidad de conocimiento de la empresa Requisito 8: Asigne una ID única a cada persona que tenga acceso a computadoras Requisito 9: Limite el acceso físico a los datos del titular de la tarjeta para los requisitos 10 y 11: Supervise y pruebe las redes con regularidad Requisito 10: Rastree y supervise los accesos a los recursos de red y a los datos de los titulares de las tarjetas Requisito 11: Pruebe los sistemas y procesos de seguridad regularmente para el requisito 12: Mantenga una política de seguridad de información Requisito 12: Mantenga una política que aborde la seguridad de la información para empleados y contratistas para el requisito A.1: Requisitos de las PCI DSS adicionales para proveedores de hosting compartido Anexo A: Normas de seguridad de datos de la PCI: documentos relacionados Copyright 2008 PCI Security Standards Council LLC Página ii

4 Prefacio Este documento describe los 12 requisitos de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), junto con orientación para explicar el propósito de cada requisito. Este documento pretende ayudar a comerciantes, proveedores de servicios e instituciones financieras que quizá deseen comprender las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago, y el significado específico y la intención detrás de los requisitos detallados para asegurar los componentes del sistema (servidores, redes, aplicaciones, etc.) que admiten entornos de datos de los titulares de las tarjetas. NOTA: Exploración de PCI DSS: La comprensión del objetivo de los requisitos es sólo orientativa. Cuando se realiza un Cuestionario de Autoevaluación (SAQ) o una evaluación in situ de las PCI DSS, los requisitos de las PCI DSS y procedimientos para la evaluación de la seguridad y los Cuestionarios de Autoevaluación de las PCI DSS, versión 1.2, son los documentos de registro. Los requisitos de las PCI DSS se aplican a todos los componentes del sistema que se incluyen en el entorno de los datos del titular de la tarjeta o que están relacionados con éste. El entorno de los datos del titular de la tarjeta es la parte de la red que posee los datos del titular de la tarjeta o los datos confidenciales de autenticación, incluidos los componentes de la red, los servidores y las aplicaciones. Los componentes de la red incluyen, a modo de ejemplo, firewalls, interruptores, routers, puntos de acceso inalámbricos, dispositivos de red y otros dispositivos de seguridad. Los tipos de servidores incluyen, a modo de ejemplo: web, base de datos, autenticación, correo electrónico, proxy, protocolo de tiempo de red (NTP) y servidor de nombre de dominio (DNS). Las aplicaciones incluyen todas las aplicaciones compradas y personalizadas, incluidas las aplicaciones internas y externas (Internet). La adecuada segmentación de red, que aísla los sistemas que almacenan, procesan o transmiten datos del titular de la tarjeta de los que no lo hacen, puede reducir el alcance del entorno de los datos del titular. Un Asesor de Seguridad Certificado (QSA) puede ayudar a determinar el alcance dentro del entorno de los datos del titular de una entidad y brindar orientación sobre cómo reducir el alcance de una evaluación de las PCI DSS mediante la implementación de una segmentación de red adecuada. Si las empresas tienen preguntas acerca de si una implementación específica concuerda con la norma o si cumple con un requisito específico, las PCI SSC recomiendan que consulten con un Asesor de Seguridad Certificado (QSA) para validar su implementación de tecnología y procesos, y el cumplimiento de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago. La experiencia del QSA en el trabajo con entornos de red complejos se presta bien para ofrecer las mejores prácticas y orientación para el comerciante o proveedor de servicios que intenta lograr el cumplimiento. Puede encontrar la lista de PCI SSC de los Asesores de Seguridad Certificados en: https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf. Copyright 2008 PCI Security Standards Council LLC Página iii

5 Elementos de los datos del titular de la tarjeta y de los datos confidenciales de autenticación La siguiente tabla ilustra los elementos de los datos de titulares de tarjetas y de los datos confidenciales de autenticación que habitualmente se utilizan; independientemente de que esté permitido o prohibido el almacenamiento de dichos datos o de que esos datos deban estar protegidos. Esta tabla no intenta ser exhaustiva, sino que tiene como finalidad ilustrar distintos tipos de requisitos que se aplican a cada elemento de datos. Los datos del titular de la tarjeta se definen como el número de cuenta principal ( PAN, o número de tarjeta de crédito) y otros datos obtenidos como parte de una transacción de pago, incluidos los siguientes elementos de datos (para obtener información detallada vea debajo de la tabla). PAN Nombre del titular de la tarjeta Fecha de vencimiento Código de servicio Datos confidenciales de autenticación: (1) todos los datos de banda magnética, (2) CAV2/CVC2/CVV2/CID, y (3) los PIN/los bloqueos de PIN) El número de cuenta principal (PAN) es el factor que define la aplicabilidad de los requisitos de las PCI DSS y las PA-DSS. Si no se almacena, procesa ni transmite el PAN, no se aplicarán las PCI DSS ni las PA-DSS. Datos del titular de la tarjeta Datos confidenciales de autenticación 2 Elemento de datos Almacenamiento permitido Protección requerida PCI DSS req. 3, 4 Número de cuenta principal Sí Sí Sí Nombre del titular de la tarjeta 1 Sí Sí 1 No Código de servicio 1 Sí Sí 1 No Fecha de vencimiento 1 Sí Sí 1 No Datos completos de la banda 3 magnética No N/C N/C CAV2/CVC2/CVV2/CID No N/C N/C PIN/Bloqueo de PIN No N/C N/C Estos elementos de datos deben quedar protegidos si se los almacena con el PAN. Esta protección debe brindarse por cada requisito de las PCI DSS, a fin de asegurar una protección integral del entorno del titular de la tarjeta. Además, es posible que otras leyes (por ejemplo, las leyes relacionadas con la protección, la privacidad, el robo de identidad o la seguridad de los datos personales del consumidor) exijan protección específica de esos datos o la debida divulgación de las prácticas de una empresa en caso de que se recopilen datos personales sobre el consumidor durante el transcurso de los negocios. Sin embargo, las PCI DSS no se aplica si no se almacenan, procesan ni transmiten los PAN. No se deben almacenar los datos confidenciales de autenticación después de la autorización (incluso si están cifrados). Contenido completo de la pista de banda magnética, imagen de la banda magnética que está en el chip o en cualquier otro dispositivo. Copyright 2008 PCI Security Standards Council LLC Página 1

6 Ubicación de los datos de los titulares de tarjetas y de los datos confidenciales de autenticación Los datos confidenciales de autenticación constan de datos 4 de banda (o pista) magnética, el código de validación de la tarjeta o valor 5 y los datos de PIN 6. Se prohíbe el almacenamiento de datos confidenciales de autenticación! Estos datos son muy valiosos para las personas malintencionadas ya que les permiten generar tarjetas de pago falsas y crear transacciones fraudulentas. Consulte el Glosario de términos, abreviaturas y acrónimos de las PCI DSS y las PA-DSS para obtener la definición completa de los datos confidenciales de autenticación. Las imágenes del anverso y el reverso de la siguiente tarjeta de crédito muestran la ubicación del titular de la tarjeta y los datos confidenciales de autenticación. 4 Datos codificados en la banda magnética que se utilizan para realizar la autorización durante una transacción con tarjeta presente. Estos datos también pueden encontrarse en la imagen de la banda magnética que está en el chip o en algún otro lugar de la tarjeta. Es posible que las entidades no retenga n todos los datos de banda magnética después de la autorización de la transacción. Los únicos elementos de datos de pistas que se pueden retener son: el número de cuenta principal, el nombre del titular de la tarjeta, la fecha de vencimiento y el código de servicio. 5 El valor de tres o cuatro dígitos impreso en el panel de firma, a la derecha del panel de firma o en el anverso de la tarjeta de pago que se utiliza para verificar l as transacciones con tarjeta ausente (CNP). 6 El número de identificación personal introducido por el titular de la tarjeta durante una transacción con tarjeta presente y/o el bloqueo del PIN cifrado presente dentro del mensaje de la transacción. Copyright 2008 PCI Security Standards Council LLC Página 2

7 Datos de la pista 1 y pista 2 Si se almacena el contenido completo (ya sea de la pista 1 o de la pista 2 de banda magnética, imagen de la banda magnética que está en un chip o en cualquier otro dispositivo) las personas malintencionadas que obtienen datos pueden reproducir y vender tarjetas de pago en todo el mundo. El almacenamiento del contenido completo de la pista viola la reglamentación operativa de las marcas de pago y puede ocasionar multas o sanciones. La siguiente imagen ofrece información sobre los datos de la pista 1 y de la pista 2, mediante la descripción de las diferencias y la exhibición de la composición de los datos como están almacenados en la banda magnética. Contiene todos los campos de la pista 1 y de la pista 2 Longitud de hasta 79 caracteres Pista 1 Pista 2 Tiempo de procesamiento más corto para las transmisiones por línea telefónica más antiguas. Longitud de hasta 40 caracteres Copyright 2008 PCI Security Standards Council LLC Página 3

8 relacionada para las Normas de Seguridad de Datos de la PCI Desarrollar y mantener una red segura Requisito 1: Requisito 2: Instale y mantenga una configuración de firewall para proteger los datos de los titulares de las tarjetas No utilice los valores predeterminados que ofrece el proveedor para las contraseñas del sistema u otros parámetros de seguridad. Proteja los datos del titular de la tarjeta Requisito 3: Requisito 4: Proteja los datos del titular de la tarjeta que fueron almacenados Codifique la transmisión de los datos de los titulares de tarjetas a través de redes públicas abiertas. Desarrolle un programa de administración de vulnerabilidad Requisito 5: Requisito 6: Utilice un software antivirus y actualícelo regularmente Desarrolle y mantenga sistemas y aplicaciones seguras Implemente medidas sólidas de control de acceso Requisito 7: Requisito 8: Requisito 9: Restrinja el acceso a los datos de los titulares de las tarjetas conforme a la necesidad de conocer de la empresa Asigne una ID única a cada persona que tenga acceso a computadoras Limite el acceso físico a los datos del titular de la tarjeta Supervise y pruebe las redes con regularidad Requisito 10: Requisito 11: Rastree y supervise los accesos a los recursos de red y a los datos de los titulares de las tarjetas Pruebe los sistemas y procesos de seguridad regularmente Mantenga una política de seguridad de información Requisito 12: Mantenga una política que aborde la seguridad de la información Copyright 2008 PCI Security Standards Council LLC Página 4

9 para los requisitos 1 y 2: Desarrollar y mantener una red segura Requisito 1: Instale y mantenga una configuración de firewall para proteger los datos de los titulares de las tarjetas Los firewalls son dispositivos computarizados que controlan el tránsito permitido en la red de una empresa (interna) y de redes no confiables (externas) así como el tránsito de entrada y salida a áreas más sensibles dentro de la red interna confidencial de la empresa. El entorno del titular de la tarjeta es un ejemplo de un área más confidencial dentro de la red confiable de la empresa. El firewall evalúa todo el tránsito de la red y bloquea las transmisiones que no cumplen con los criterios especificados de seguridad. Es necesario proteger todos los sistemas contra el acceso no autorizado desde redes no confiables, ya sea que ingresen al sistema a través de Internet como comercio electrónico, del acceso a Internet desde las computadoras de mesa de los empleados, del acceso al correo electrónico de los empleados, de conexiones dedicadas como conexiones de empresa a empresa mediante redes inalámbricas o a través de otras fuentes. Con frecuencia, algunas vías de conexión hacia y desde redes no confiables aparentemente insignificantes pueden proporcionar un acceso sin protección a sistemas clave. Los firewalls son un mecanismo de protección esencial para cualquier red de computadoras. Requisito 1.1 Establezca las normas de configuración del firewall y del router que incluyen lo siguiente: Un proceso formal para aprobar y evaluar todos los cambios y las conexiones de red en la configuración de los firewalls y los routers Un diagrama actualizado de la red con todas las conexiones que acceden a los datos de los titulares de las tarjetas, incluida toda red inalámbrica Los firewalls y los routers son componentes clave de la arquitectura que controlan la entrada a la red y la salida de ésta. Estos dispositivos son dispositivos de software o hardware que bloquean el acceso no deseado y administran el acceso autorizado de los elementos que entran y salen de la red. Sin la implementación de políticas y procedimientos para documentar cómo el personal debe configurar los firewalls y los routers, una empresa puede perder fácilmente su primera línea de defensa en la protección de datos. Las políticas y los procedimientos ayudarán a asegurar que la primera línea de defensa de la organización se mantenga fuerte en la protección de sus datos. Una política y un proceso para aprobar y evaluar todas las conexiones y los cambios que se realizan en los firewalls y en los routers ayudarán a prevenir los problemas de seguridad que causa una mal configuración de la red, del router o del firewall. Los diagramas de red permiten a la organización identificar la ubicación de todos sus dispositivos de red. Además, el diagrama de red se puede usar para trazar el flujo de datos de los datos del titular de la tarjeta en la red y entre los dispositivos individuales para comprender plenamente el alcance del entorno del titular de la tarjeta. Sin diagramas de red y de flujos de datos actualizados, los dispositivos con datos del titular de la tarjeta pueden pasarse por alto e, inconcientemente, pueden dejarse afuera de los controles de seguridad en capas que se implementan para las PCI DSS y, por ende, tornarse vulnerables al peligro. Copyright 2008 PCI Security Standards Council LLC Página 5

10 1.1.3 Requisitos para tener un firewall en cada conexión a Internet y entre cualquier zona desmilitarizada (DMZ) y la zona de la red interna Descripción de grupos, de papeles y de responsabilidades para una administración lógica de los componentes de la red Razón documentada y comercial para la utilización de todos los servicios, los protocolos y los puertos permitidos, incluida la documentación de funciones de seguridad implementadas en aquellos protocolos que se consideran inseguros Requisitos de la revisión de las normas del firewall y del router, al menos, cada seis meses El uso de un firewall en todas las conexiones que ingresan a la red (y las que salen) permite a la organización supervisar y controlar todo lo que entra y sale y minimizar las posibilidades de que personas malintencionadas logren obtener acceso a la red interna. Esta descripción de funciones y asignación de responsabilidades garantiza que alguien sea responsable de la seguridad de todos los componentes y que sea consciente de su responsabilidad, y que ningún dispositivo quede sin administrar. Generalmente, los riesgos existen debido a servicios o puertos inseguros o que no se usan, ya que éstos generalmente tienen vulnerabilidades conocidas, y muchas organizaciones son vulnerables a estos tipos de riesgos porque no corrigen provisionalmente la vulnerabilidad de seguridad de los servicios, protocolos y puertos que no usan (aunque las vulnerabilidades aún estén presentes). Cada organización debe decidir de manera clara qué servicios, protocolos y puertos son necesarios para su empresa, documentarlos para sus registros y asegurarse de que todos los otros servicios, protocolos y puertos estén desactivados o se hayan eliminado. Además, las organizaciones deben considerar el bloqueo de todo el tránsito y sólo volver a abrir esos puertos una vez que se ha determinado y documentado una necesidad. Asimismo, existen muchos servicios, protocolos y puertos que una empresa puede necesitar (o ha activado de manera predeterminada) y que generalmente son usados por personas malintencionadas para poner en riesgo una red. Si estos servicios, protocolos y puertos inseguros son necesarios para la empresa, la organización debe comprender y aceptar el riesgo que ocasiona el uso de estos protocolos, se debe justificar el uso del protocolo y se deben documentar e implementar las funciones de seguridad que permiten que estos protocolos se usen de manera segura. Si estos servicios, protocolos y puertos inseguros no son necesarios para la empresa, deben desactivarse o eliminarse. Esta revisión le da una oportunidad a la organización, al menos cada seis meses, para limpiar toda norma innecesaria, obsoleta o incorrecta, y asegura que todas las normas permitan sólo servicios autorizados y puertos que se ajusten a razones comerciales. Se recomienda realizar estas revisiones con más frecuencia, por ejemplo, mensualmente, para garantizar que las normas estén actualizadas y satisfagan las necesidades de la empresa sin abrir los agujeros de seguridad y correr riesgos innecesarios. Copyright 2008 PCI Security Standards Council LLC Página 6

11 1.2 Desarrolle una configuración de firewall que restrinja las conexiones entre redes no confiables y todo componente del sistema en el entorno de los datos del titular de la tarjeta. Nota: Una red no confiable" es toda red que es externa a las redes que pertenecen a la entidad en evaluación y que excede la capacidad de control o administración de la entidad Restrinja el tránsito entrante y saliente a la cantidad que sea necesaria en el entorno de datos del titular de la tarjeta Asegure y sincronice los archivos de configuración de routers Instale firewalls de perímetro entre las redes inalámbricas y el entorno de datos del titular de la tarjeta y configure estos firewalls para negar todo tránsito desde el entorno inalámbrico o para controlar (en caso de que ese tránsito fuera necesario para fines comerciales). Es esencial instalar protección de red, como un firewall, entre la red interna confiable y cualquier otra red no confiable externa o que excede la capacidad de control o administración de la entidad. Si no se implementa esta medida de manera correcta significa que la entidad será vulnerable al acceso no autorizado de personas malintencionadas y software malicioso. Si se instala un firewall pero no hay normas que controlen o limiten cierto tránsito, las personas malintencionadas aún pueden explotar los puertos y protocolos vulnerables para atacar su red. Este requisito tiene como objetivo impedir que personas malintencionadas tengan acceso a la red de la organización a través de direcciones IP no autorizadas o a través del uso de servicios, protocolos o puertos de manera no autorizada (por ejemplo, para enviar a un servidor no confiable datos que han obtenido de su red). Todos los firewalls deben incluir una norma que niegue todo tránsito entrante y saliente que no sea específicamente necesario. Esto impide que haya agujeros inadvertidos que pueden permitir otro tránsito entrante o saliente accidental y potencialmente peligroso. Si bien los archivos de configuración en ejecución generalmente se implementan con una configuración segura, es posible que los archivos de arranque (los routers sólo ejecutan estos archivos al reiniciarse) no se implementen con la misma configuración de seguridad porque sólo se ejecutan ocasionalmente. Cuando un router se reinicia sin la misma configuración segura que las de los archivos de configuración en ejecución, es posible que se produzcan normas más débiles que permitan que personas malintencionadas ingresen en la red, ya que es posible que los archivos de arranque no se hayan implementado con la misma configuración segura que los archivos de configuración en ejecución. La implementación y explotación conocida (o desconocida) de tecnología inalámbrica dentro de una red es una vía común para que las personas malintencionadas obtengan acceso a la red y a los datos del titular de la tarjeta. Si se instala una red o un dispositivo inalámbrico sin que la empresa sepa, una persona malintencionada puede fácilmente e inevitablemente ingresar a la red. Si los firewalls no restringen el acceso desde redes inalámbricas hacia el entorno de la tarjeta de pago, las personas malintencionadas que obtienen acceso no autorizado a la red inalámbrica pueden conectarse fácilmente con el entorno de la tarjeta de pago y poner en riesgo la información de la cuenta. Copyright 2008 PCI Security Standards Council LLC Página 7

12 1.3 Prohíba el acceso directo público entre Internet y todo componente del sistema en el entorno de datos de los titulares de tarjetas Implemente un DMZ para limitar el tránsito entrante y saliente a los protocolos que sean necesarios en el entorno de datos del titular de la tarjeta Restrinja el tránsito entrante de Internet a las direcciones IP dentro del DMZ No permita ninguna ruta directa de entrada o salida de tránsito entre Internet y el entorno del titular de la tarjeta No permita que las direcciones internas pasen desde Internet al DMZ Restrinja el tránsito saliente del entorno de datos del titular de la tarjeta a Internet de forma tal que el tránsito saliente sólo pueda acceder a direcciones IP dentro del DMZ. El propósito de un firewall es administrar y controlar todas las conexiones que hay entre sistemas públicos y sistemas internos (especialmente los que almacenan datos de titulares de tarjetas). Si se permite el acceso directo entre sistemas públicos y los que almacenan datos de titulares de tarjetas, se omite la protección que ofrece el firewall y los componentes del sistema que almacenan datos de titulares de tarjetas pueden estar en peligro. Estos requisitos tienen como objetivo impedir que personas malintencionadas tengan acceso a la red de la organización a través de direcciones IP no autorizadas o a través del uso de servicios, protocolos o puertos de manera no autorizada (por ejemplo, para enviar a un servidor externo no confiable de una red no confiable datos que han obtenido de su red). El DMZ es la parte del firewall que hace frente a la Internet pública y administra las conexiones entre Internet y los servicios internos que una organización necesita tener disponibles para el público (como un servidor web). Es la primera línea de defensa que aísla y separa el tránsito que necesita para comunicarse con la red interna del tráfico que no necesita comunicarse con la red interna. Normalmente, un paquete contiene la dirección IP de la computadora que lo envió originalmente. Esto les permite a otras computadoras de la red saber de dónde viene ese paquete. En ciertos casos, personas malintencionadas falsificarán esta dirección IP. Por ejemplo, personas malintencionadas envían un paquete con una dirección falsa, de manera que (a menos que su firewall lo prohíba) el paquete ingresa a la red desde Internet, como tránsito interno y, por ende, legítimo. Una vez que las personas malintencionadas están dentro de la red, pueden poner en peligro sus sistemas. El filtrado de ingreso es una técnica que puede usar en su firewall para filtrar paquetes que ingresan en su red para, entre otras cosas, asegurarse de que los paquetes no se falsifiquen a fin de que parezca que provienen de su propia red interna. Si necesita más información sobre el filtrado de paquetes, puede obtener información sobre una técnica de consecuencia natural denominada filtrado de salida. El DMZ también debe evaluar todo el tránsito saliente desde el interior de la red para asegurar que todo el tránsito saliente siga las normas establecidas. Para que el DMZ realice esta función con eficacia, no se deben permitir conexiones desde el interior de la red hacia cualquier dirección fuera de la red, a menos que antes pasen por el DMZ y este evalúe su legitimidad. Copyright 2008 PCI Security Standards Council LLC Página 8

13 1.3.6 Implemente la inspección completa, también conocida como filtrado dinámico de paquetes. (Es decir, sólo se permite la entrada a la red de conexiones establecidas ) Coloque la base de datos en una zona de red interna, segregada del DMZ Implemente la simulación IP a los efectos de evitar que las direcciones internas se traduzcan y se divulguen en Internet mediante la utilización del espacio de dirección RFC Utilice tecnologías de traducción de dirección de red (NAT), por ejemplo, traducción de dirección de puertos (PAT). 1.4 Instale software de firewall personal en toda computadora móvil o de propiedad de los trabajadores con conectividad directa a Internet (por ejemplo, laptops que usan los trabajadores), mediante las cuales se accede a la red de la organización. Un firewall que realiza una inspección meticulosa de paquetes mantiene el estado (o el estatus) de todas las conexiones del firewall. Al mantener el estado, el firewall sabe si lo que parece ser una respuesta a una conexión anterior es verdaderamente una respuesta (ya que "recuerda" la conexión anterior) o es un software malicioso o una persona malintencionada que intenta burlar o engañar el firewall para que permita la conexión. Los datos del titular de la tarjeta requieren el mayor nivel de protección de la información. Si se ubican datos del titular de la tarjeta dentro del DMZ, el acceso a esta información es más simple para un atacante externo, ya que hay menos capas para penetrar. La simulación IP, que administra el firewall, permite a una organización tener direcciones internas que son sólo visibles dentro de la red y direcciones externas que son visibles fuera de la red. Si un firewall no esconde u oculta las direcciones IP de la red interna, una persona malintencionada puede descubrir direcciones IP internas e intentar acceder a la red con una dirección IP falsa. Si una computadora no tiene un firewall o un programa antivirus instalado, se pueden descargar spyware, troyanos, virus, gusanos y rootkit (malware) o instalarse sin saberlo. La computadora es aún más vulnerable cuando está directamente conectada a Internet y no detrás del firewall de la empresa. El malware cargado en una computadora que no está protegida por el firewall de la empresa puede dirigirse maliciosamente a la información que hay en la red cuando la computadora se vuelve a conectar a la red corporativa. Copyright 2008 PCI Security Standards Council LLC Página 9

14 2: No utilice los valores predeterminados que ofrece el proveedor para las contraseñas del sistema u otros parámetros de seguridad. Los delincuentes (externos e internos a la empresa), por lo general, utilizan las contraseñas predeterminadas por los proveedores y otros parámetros que el proveedor predetermine para afectar los sistemas. Estas contraseñas y parámetros son conocidos entre las comunidades de hackers y se establecen fácilmente por medio de información pública. Requisito 2.1 Siempre cambie los valores predeterminados de los proveedores antes de instalar un sistema en la red (por ejemplo, incluya contraseñas, cadenas comunitarias de protocolo simple de administración de red [SNMP] y elimine cuentas innecesarias) En el caso de entornos inalámbricos que están conectados al entorno de datos del titular de la tarjeta o que transfieren datos del titular de la tarjeta, cambie los valores predeterminados proporcionados por los proveedores, incluidas, a modo de ejemplo, claves de criptografía inalámbricas predeterminadas, contraseñas y cadenas comunitarias SNMP. Asegúrese de que la configuración de seguridad de los dispositivos inalámbricos esté habilitada para la tecnología de cifrado de la autenticación y transmisión. Los delincuentes (externos e internos a la empresa), por lo general, utilizan las contraseñas, los nombres de cuenta y los valores de configuración predeterminados por los proveedores para afectar los sistemas. Las comunidades de hackers conocen bien estos valores de configuración y hacen que su sistema sea muy vulnerable a un ataque. Muchos usuarios instalan estos dispositivos sin la aprobación de la gerencia y no cambian los valores de configuración predeterminados ni establecen la configuración de seguridad. Si las redes inalámbricas no se implementan con suficientes configuraciones de seguridad (incluido el cambio de los valores de configuración predeterminados), los analizadores inalámbricos de protocolos pueden espiar el tránsito, capturar datos y contraseñas de manera sencilla e ingresar fácilmente en su red y atacarla. Además, se ha roto el protocolo de intercambio clave para la versión anterior de cifrado x (WEP) y puede hacer que el cifrado sea inútil. Verifique que el firmware de los dispositivos esté actualizado para admitir protocolos más seguros, como WPA/WPA2. Copyright 2008 PCI Security Standards Council LLC Página 10

15 2.2 Desarrolle normas de configuración para todos los componentes de sistemas. Asegúrese de que estas normas contemplen todas las vulnerabilidades de seguridad conocidas y que concuerden con las normas de alta seguridad de sistema aceptadas en la industria Implemente solamente una función principal por cada servidor Deshabilite todos los servicios y protocolos innecesarios e inseguros (servicios y protocolos que no sean directamente necesarios para desempeñar la función especificada de los dispositivos). Existen debilidades conocidas en muchos sistemas operativos, bases de datos y aplicaciones de empresas, y también existen formas conocidas de configurar estos sistemas para arreglar las vulnerabilidades de seguridad. Para ayudar a quienes no son expertos en seguridad, las organizaciones de seguridad han establecido recomendaciones de alta seguridad de sistema, que aconsejan cómo corregir estas debilidades. Si no se eliminan estas debilidades de los sistemas, como una configuración de archivo débil o servicios y protocolos predeterminados (para los servicios o protocolos que generalmente no son necesarios), un atacante puede usar distintos puntos vulnerables conocidos para atacar servicios y protocolos vulnerables y, así, obtener acceso a la red de la organización. Puede visitar estos tres sitios web de ejemplo, en los que podrá obtener más información sobre las mejores prácticas de la industria que pueden ayudarlo a implementar normas de configuración: Esto tiene como objetivo garantizar que las normas de configuración de los sistemas y los procesos relacionados de una empresa tratan las funciones de los servidores que necesitan tener distintos niveles de seguridad o que pueden introducir debilidades de seguridad en otras funciones del mismo servidor. Por ejemplo: 1. Una base de datos, que requiere fuertes medidas de seguridad, estaría en riesgo si compartiera un servidor con una aplicación web, que necesita estar abierta y enfrenarse directamente con Internet. 2. Si no se aplica un parche a una función aparentemente menor se puede correr un riesgo que puede repercutir en otras funciones más importantes (como la base de datos) del mismo servidor. Este requisito es para servidores (generalmente Unix, Linux o Windows), pero no para sistemas mainframe. Como se mencionó en 1.1.7, existen muchos protocolos que una empresa puede necesitar (o ha activado de manera predeterminada) y que generalmente son usados por personas malintencionadas para poner en riesgo una red. Para garantizar que estos servicios y protocolos estén siempre desactivados cuando se implementan nuevos servidores, este requisito debe ser parte de las normas de configuración y los procesos relacionados de su empresa. Copyright 2008 PCI Security Standards Council LLC Página 11

16 2.2.3 Configure los parámetros de seguridad del sistema para evitar el uso indebido Elimine todas las funcionalidades innecesarias, tales como secuencias de comandos, controladores, funciones, subsistemas, sistemas de archivos y servidores web innecesarios. 2.3 Cifre el acceso administrativo que no sea de consola. Utilice tecnologías como SSH, VPN o SSL/TLS para la administración basada en la web y otros tipos de acceso administrativo que no sea de consola. 2.4 Los proveedores de servicio de hosting deben proteger el entorno hosting y los datos del titular de la tarjeta. Estos proveedores deben cumplir requisitos específicos detallados en el Anexo A: Requisitos de las PCI DSS adicionales para proveedores de hosting compartido. Esto pretende garantizar que las normas de configuración de los sistemas y los procesos relacionados de su empresa traten específicamente los parámetros y la configuración de seguridad que han conocido implicaciones de seguridad. Las normas de alta seguridad de servidor deben incluir procesos para abordar las funcionalidades innecesarias con implicaciones de seguridad específicas (como eliminar/desactivar el FTP o el servidor web si el servidor no ejecutará esas funciones). Si la administración remota no se realiza con autenticación segura y comunicaciones cifradas, la información confidencial de nivel operativo o administrativo (como las contraseñas de los administradores) puede revelarse a un espía. Una persona malintencionada puede usar esta información para acceder a la red, convertirse en administrador y robar datos. Este punto está pensado para los proveedores de hosting que ofrecen entornos de servicio de hosting compartido para varios clientes en el mismo servidor. En general, cuando todos los datos están en el mismo servidor, bajo el control de un solo entorno, los clientes individuales no pueden controlar la configuración de estos servidores, pero se les permite agregar secuencias y funciones inseguras que afectan la seguridad de los entornos de los otros clientes y, por ende, hacen que sea más fácil para las personas malintencionadas poner en riesgo los datos de un cliente y, así, obtener acceso a todos los otros datos de los clientes. Consulte el Anexo A. Copyright 2008 PCI Security Standards Council LLC Página 12

17 para los requisitos 3 y 4: Proteja los datos del titular de la tarjeta Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados Las medidas de protección como el cifrado, el truncamiento, el ocultamiento y la refundición son importantes componentes de la protección de datos del titular de la tarjeta. Si un intruso viola otros controles de seguridad de red y obtiene acceso a los datos cifrados, sin las claves criptográficas adecuadas no podrá leer ni utilizar esos datos. Los otros métodos eficaces para proteger los datos almacenados deberían considerarse oportunidades para mitigar el riesgo posible. Por ejemplo, los métodos para minimizar el riesgo incluyen no almacenar datos de los titulares de la tarjeta salvo que sea absolutamente necesario, truncar los datos de los titulares de la tarjeta si no se necesita el PAN completo y no enviar el PAN en correos electrónicos no cifrados. Consulte el Glosario de términos, abreviaturas y acrónimos de las PCI DSS y las PA-DSS para obtener definiciones de "criptografía sólida" y otros términos de las DSS de la PCI. Requisito 3.1 Almacene la menor cantidad de datos posibles del titular de la tarjeta. Desarrolle una política de retención y de disposición de datos. Reduzca la cantidad de datos almacenados y el tiempo de retención a los que sean necesarios para fines comerciales, legales o reglamentarios, según se documente en la política de retención de datos. 3.2 No almacene datos confidenciales de autenticación después de recibir la autorización (aun cuando estén cifrados). Los datos confidenciales de autenticación incluyen los datos mencionados en los requisitos a establecidos a continuación. El almacenamiento de gran extensión de datos de los titulares de las tarjetas que excede la necesidad de la empresa crea un riesgo innecesario. Los únicos datos de los titulares de las tarjetas que pueden almacenarse son el número de cuenta principal o PAN (ilegible), la fecha de vencimiento, el nombre y el código de servicio. Recuerde: si no lo necesita, no lo almacene! Los datos confidenciales de autenticación constan de datos 7 de banda (o pista) magnética, el código de validación de la tarjeta o valor 8 y los datos de PIN 9. Se prohíbe el almacenamiento de datos confidenciales de autenticación después de recibir la autorización! Estos datos son muy valiosos para las personas malintencionadas ya que les permiten generar tarjetas de pago falsas y crear transacciones fraudulentas. Consulte el Glosario de términos, abreviaturas y acrónimos de las PCI DSS y las PA-DSS para obtener la definición completa de los datos confidenciales de autenticación. 7 Datos codificados en la banda magnética que se utilizan para realizar la autorización durante una transacción con tarjeta presente. Estos datos también pueden encontrarse en la imagen de la banda magnética que está en el chip o en algún otro lugar de la tarjeta. Es posible que las entidades no retenga n todos los datos de banda magnética después de la autorización de la transacción. Los únicos elementos de datos de pistas que se pueden retener son: el número de cuenta principal, el nombre del titular de la tarjeta, la fecha de vencimiento y el código de servicio. 8 El valor de tres o cuatro dígitos impreso en el panel de firma, a la derecha del panel de firma o en el anverso de la tarjeta de pago que se utiliza para verificar las transacciones con tarjeta ausente (CNP). 9 El número de identificación personal introducido por el titular de la tarjeta durante una transacción con tarjeta presente y/o el bloqueo del PIN cifrado presente dentro del mensaje de la transacción. Copyright 2008 PCI Security Standards Council LLC Página 13

18 No almacene contenidos completos de ninguna pista de la banda magnética (que está en el reverso de la tarjeta, en un chip o en cualquier otro dispositivo). Estos datos se denominan alternativamente, pista completa, pista, pista 1, pista 2 y datos de banda magnética. Nota: En el transcurso normal de los negocios, es posible que se deban retener los siguientes elementos de datos de la banda magnética: El nombre del titular de la tarjeta. Número de cuenta principal (PAN). Fecha de vencimiento. Código de servicio. Para minimizar el riesgo, almacene solamente los elementos de datos que sean necesarios para el negocio. Nota: Consulte el Glosario de términos, abreviaturas y acrónimos de las PCI DSS para obtener más información. No almacene el valor ni el código de validación de tarjetas (número de tres o cuatro dígitos impreso en el anverso o reverso de una tarjeta de pago) que se utiliza para verificar las transacciones de tarjetas ausentes. Nota: Consulte el Glosario de términos, abreviaturas y acrónimos de las PCI DSS para obtener más información. No almacene el número de identificación personal (PIN) ni el bloqueo del PIN cifrado. Si se almacena el contenido completo, las personas malintencionadas que obtienen datos pueden reproducir y vender tarjetas de pago en todo el mundo. El objetivo del código de validación de la tarjeta es proteger las transacciones de tarjetas ausentes (transacciones de pedidos por Internet o correo/ teléfono). Estos tipos de transacciones pueden autenticarse y demostrar que provienen del propietario de la tarjeta con sólo solicitar este código de validación de la tarjeta, ya que el propietario tiene la tarjeta en la mano y puede leer el valor. Si estos datos prohibidos se almacenan y luego son robados, las personas malintencionadas pueden ejecutar transacciones de pedidos por Internet o correo/teléfono fraudulentas. Sólo el propietario de la tarjeta o el banco que la emitió deben conocer estos valores. Si estos datos prohibidos se almacenan y luego son robados, las personas malintencionadas pueden ejecutar transacciones de débito con PIN fraudulentas. Copyright 2008 PCI Security Standards Council LLC Página 14

19 3.3 Oculte el PAN cuando aparezca (los primeros seis y los últimos cuatro dígitos es la cantidad máxima de dígitos que aparecerá). Notas: Este requisito no se aplica a trabajadores y a otras partes que posean una necesidad específica de conocer el PAN completo. Este requisito no reemplaza los requisitos más estrictos que fueron implementados y que aparecen en los datos del titular de la tarjeta (por ejemplo, los recibos de puntos de venta [POS]). 3.4 Haga que el PAN quede, como mínimo, ilegible en cualquier lugar donde se almacene (incluidos los datos que se almacenen en medios digitales portátiles y en registros) utilizando cualquiera de los siguientes métodos: Valores hash de una vía en criptografía sólida Truncamiento. Token y ensambladores de índices (los ensambladores se deben almacenar de manera segura). La aparición del PAN completo en artículos como las pantallas de computadoras, los recibos de tarjetas de pago, los faxes o los informes en papel puede facilitar la obtención de estos datos por parte de individuos no autorizados y su uso fraudulento. El PAN puede mostrarse completo en los recibos de copia de comerciantes ; sin embargo, los recibos en papel deben adherirse a los mismos requisitos de seguridad que las copias electrónicas y seguir los lineamientos de las Normas de Seguridad de Datos de la PCI, especialmente el Requisito 9 sobre seguridad física. El PAN completo también puede mostrarse a quienes tienen una necesidad comercial legítima de visualizar el PAN completo. La falta de protección del PAN puede permitir a los individuos malintencionados visualizar o descargar estos datos. Todos los PAN que se almacenan en almacenamiento principal (bases de datos o archivos planos, como hojas de cálculo de archivos de texto) y en almacenamiento no principal (copias de seguridad, registros de auditoría, registros de excepción o resolución de problemas) deben protegerse. El daño ocasionado por el robo o la pérdida de cintas de respaldo durante el transporte puede reducirse si se asegura que los PAN sean ilegibles mediante el cifrado, el truncamiento y la refundición. Como los registros de auditoría, de resolución de problemas y de excepción deben conservarse, puede impedir la divulgación de los datos del registro si se asegura que los PAN sean ilegibles (los elimina u oculta) en los registros. Consulte el Glosario de términos, abreviaturas y acrónimos de las PCI DSS y las PA-DSS para obtener definiciones de criptografía sólida. Los valores hash de una vía (como SHA-1) en criptografía sólida pueden usarse para que los datos de los titulares de tarjetas sean ilegibles. Los valores hash son apropiados cuando no hay necesidad de recuperar el número original (los valores hash de una vía son irreversibles). El propósito del truncamiento es que se almacene sólo una porción del PAN (que no se superen los primeros seis dígitos y los últimos cuatro). Esto es distinto al ocultamiento, en donde el PAN completo se almacena pero se oculta cuando aparece (es decir, sólo aparece una parte del PAN en las pantallas, los informes, los recibos, etc.). Los tokens y ensambladores de índices también pueden usarse para que los datos de los titulares de tarjetas sean ilegibles. Un token de índice es un token criptográfico que reemplaza el PAN en base a un índice dado para un valor imprevisible. Un ensamblador de una vez es un sistema en el que una clave privada, que se genera de forma aleatoria, se usa sólo una vez para cifrar un mensaje que luego se descifra con un ensamblador de una vez y una clave. Copyright 2008 PCI Security Standards Council LLC Página 15

20 Criptografía sólida con procesos y procedimientos de gestión de claves relacionadas. La información de cuenta MÍNIMA que se debe dejar ilegible es el PAN. Notas: Si por alguna razón, la empresa no puede hacer que el PAN sea ilegible, consulte el Anexo B: Controles de compensación. La criptografía sólida se define en el Glosario de términos, abreviaturas y acrónimos de las PCI DSS Si se utiliza cifrado de disco (en lugar de un cifrado de base de datos por archivo o columna), se debe administrar un acceso lógico independientemente de los mecanismos de control de acceso del sistema operativo nativo (por ejemplo, no se deben utilizar bases de datos de cuentas de usuarios locales). Las claves de descifrado no deben estar vinculadas a cuentas de usuarios. 3.5 Proteja las claves criptográficas que se utilizan para cifrar los datos de los titulares de tarjetas contra su posible divulgación o uso indebido: Restrinja el acceso a las claves criptográficas al número mínimo de custodios necesarios Guarde las claves criptográficas de forma segura en la menor cantidad de ubicaciones y formas posibles. El propósito de una criptografía sólida (consulte la definición y las longitudes de las claves en el Glosario de términos, abreviaturas y acrónimos de las PCI DSS) es que el cifrado esté basado en un algoritmo probado y aceptado en la industria (no en un algoritmo propietario o propio). El objetivo de este requisito es tratar la aceptabilidad del cifrado de disco para que los datos de los titulares de tarjetas sean ilegibles. El cifrado de disco cifra los datos almacenados en el almacenamiento masivo de una computadora y descifra automáticamente la información cuando un usuario autorizado la solicita. Los sistemas de cifrado de disco interceptan las operaciones de lectura y escritura del sistema operativo y realizan las transformaciones criptográficas apropiadas sin ninguna acción especial por parte del usuario; sólo debe suministrar una contraseña o frase al iniciar sesión. En base a estas características de cifrado de disco, para cumplir con este requisito, el método de cifrado de disco no puede tener: 1) Una asociación directa con el sistema operativo. 2) Claves de descifrado asociadas con las cuentas de usuario. Las claves criptográficas deben estar muy protegidas porque quienes obtienen acceso podrán descifrar los datos. Muy pocas personas deben tener acceso a claves criptográficas; generalmente, sólo quienes tienen responsabilidad como custodios de las claves. Las claves criptográficas deben almacenarse de manera segura, generalmente con claves de cifrado, y en muy pocos lugares. Copyright 2008 PCI Security Standards Council LLC Página 16

Industria de Tarjetas de Pago (PCI) Normas de seguridad de datos

Industria de Tarjetas de Pago (PCI) Normas de seguridad de datos Industria de Tarjetas de Pago (PCI) rmas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión1.2 Octubre de 2008 Índice Introducción y descripción general de las normas

Más detalles

Comprensión del objetivo de los requisitos

Comprensión del objetivo de los requisitos Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Navegación de las PCI DSS Comprensión del objetivo de los requisitos Versión 2.0 Octubre de 2010 Modificaciones realizadas a los documentos

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Requisitos y procedimientos de evaluación de seguridad Versión 3.0 Noviembre de 2013 Modificaciones realizadas

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento Todos los demás comerciantes y proveedores de servicio elegibles para

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento Comerciantes con terminales de punto de interacción (POI) aprobados

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3.

PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3. PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 3.0 Noviembre de 2013 Modificaciones realizadas a los documentos Fecha Versión

Más detalles

Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento

Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento Industria de las Tarjetas de Pago (PCI) Norma de Seguridad de Datos Cuestionario de Autoevaluación y Declaración de Cumplimiento Aplicación de Pago Conectada a Internet, Sin Almacenamiento de Datos de

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de Autoevaluación C y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de Autoevaluación C y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de Autoevaluación C y Atestación de cumplimiento Comerciantes con sistemas de aplicaciones de pago conectados a Internet.

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A-EP y Atestación de cumplimiento Comerciantes dedicados al comercio electrónico parcialmente tercerizados

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación Instrucciones y directrices Versión 2.0 Octubre de 2010 Modificaciones realizadas a los documentos Fecha

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) A-EP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento rma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B y Atestación de cumplimiento Comerciantes con validadoras manuales o terminales independientes con discado

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) B-IP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Industria de Tarjetas de Pago (PCI) rmas de Seguridad de Datos para las Aplicaciones de Pago Requisitos y procedimientos de evaluación de seguridad Versión 2.0 Octubre de 2010 Modificaciones realizadas

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago

Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos para las Aplicaciones de Pago Resumen de los cambios de la versión 1.2.1 a la 2.0 de las PA-DSS Octubre de 2010 General General Declaración

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) rma de seguridad de datos de la Industria de tarjetas de pago (PCI) Atestación de cumplimiento para evaluaciones in situ Proveedores de servicios Versión 3.0 Febrero de 2014 Sección 1: Información sobre

Más detalles

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Norma: Normas de Seguridad de Datos (DSS) Requisito: 6.6 Fecha: febrero de 2008 Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Fecha de publicación:

Más detalles

Industria de Tarjetas de Pago (PCI) Norma de seguridad de datos

Industria de Tarjetas de Pago (PCI) Norma de seguridad de datos Industria de Tarjetas de Pago (PCI) rma de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión 2.0 Octubre de 2010 Modificaciones realizadas a los documentos Versión Descripción

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación A y Atestación de cumplimiento Comerciantes con tarjetas ausentes, todas las funciones que impliquen

Más detalles

de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación P2PE-HW y Atestación de cumplimiento

de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación P2PE-HW y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación P2PE-HW y Atestación de cumplimiento Terminales de pago de hardware en una solución únicamente P2PE

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) D Comerciantes Versión 3.0 Febrero de 2014 Sección 1: Información

Más detalles

DID (DEFENSE IN DEPTH)

DID (DEFENSE IN DEPTH) DID (DEFENSE IN DEPTH) Martín Ojeda Knapp CPM Coordinador I-SEC Especialista en Seguridad de la Información I-Sec Information Security Inc. - Chile http://geeks.ms/blogs/mojeda/ Defensa en profundidad

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Procedimientos de Auditoría de Seguridad Versión 1.1 Publicada: Septiembre 2006 Contenido Introducción... 3 Información sobre Aplicabilidad

Más detalles

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS.

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. PCI DSS PA DSS Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Julio 2005 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN 1 OBJETIVO Describir los lineamientos aplicados a la gestión y administración de los equipos de seguridad instalados en la salida a internet y en

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Procedimientos de Escaneo de Seguridad Versión 1.1 Publicada: Septiembre del 2006 Contenido Propósito...1 Introducción...1 Alcance

Más detalles

Resumen de los cambios de la versión 2.0 a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones de pago)

Resumen de los cambios de la versión 2.0 a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones de pago) Normas de seguridad de datos para las aplicaciones de pago de la PCI (industria de tarjetas de pago) Resumen de los cambios de la a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones

Más detalles

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones: Seguridad en la red A continuación se presentan algunos de los riesgos inherentes al medio de comunicación, cuya mitigación dependerá del uso adecuado que el suscriptor le dé a su equipo terminal móvil:

Más detalles

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente.

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. DEFINICIONES IMPORTANTES QUE DEBE CONOCER: Confidencialidad: hace referencia a que la información

Más detalles

SEGURIDAD DE LOS DATOS 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0

SEGURIDAD DE LOS DATOS 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 SEGURIDAD DE LOS DATOS 1/1 Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 Contenido 1. INTRODUCCIÓN... 3 2. ARQUITECTURAS DE ACCESO REMOTO... 3 2.1 ACCESO MEDIANTE MÓDEM DE ACCESO TELEFÓNICO...

Más detalles

Seguridad desde el primer click. Seguridad desde el primer click

Seguridad desde el primer click. Seguridad desde el primer click Las nuevas posibilidades que proporciona la acelerada evolución de Internet resultan evidentes. Posibilidades que nos permiten en BBVA net cash completar, día a día, nuestra ya nutrida y flexible gama

Más detalles

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad A la hora de monitorizar y validar la conformidad es necesaria

Más detalles

PCI-DSS 2.0 - Experiencias prácticas

PCI-DSS 2.0 - Experiencias prácticas PCI-DSS 2.0 - Experiencias prácticas Julio César Ardita, CISM jardita@cybsec.com Agenda - Payment Card Industry Security Standards Council (PCI-SSC) - Requisitos de validación de cumplimiento - Qualified

Más detalles

Delitos. Informáticos GUÍA DE USUARIO DELITOS INFORMÁTICOS

Delitos. Informáticos GUÍA DE USUARIO DELITOS INFORMÁTICOS GUÍA DE USUARIO DELITOS INFORMÁTICOS El uso de Internet, además de darnos mucha información, también nos ofrece algunos peligros. Al igual que nuestro mundo real, en el mundo virtual también hay gente

Más detalles

Descripción de servicio. Firewall en Red de Nueva Generación

Descripción de servicio. Firewall en Red de Nueva Generación Descripción de servicio. Firewall en Red de Nueva Generación Interoute, Walbrook Building, 195 Marsh Wall, London, E14 9SG, UK Tel: +800 4683 7681 Email: info@interoute.com 1 Introducción Este documento

Más detalles

CONSEJOS PARA TENER SIEMPRE PRESENTES

CONSEJOS PARA TENER SIEMPRE PRESENTES CONSEJOS PARA TENER SIEMPRE PRESENTES 1. Procure siempre estar informado acerca de las noticias, novedades y alertas de seguridad, Siempre busque actualizar su equipo en lo que concierne a parches para

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Versión 1.1

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Versión 1.1 Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Versión 1.1 Publicada Septiembre del 2006 Desarrollar y Mantener una Red Segura Requisito 1: Requisito 2: Instalar y mantener una

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

DOCUMENTO PARA CLIENTES, PROVEEDORES O TERCEROS- POLÍTICAS DE SEGURIDAD EMTELCO 1. POLÍTICA DE ACCESO PORTÁTILES SEDES EMTELCO.

DOCUMENTO PARA CLIENTES, PROVEEDORES O TERCEROS- POLÍTICAS DE SEGURIDAD EMTELCO 1. POLÍTICA DE ACCESO PORTÁTILES SEDES EMTELCO. DOCUMENTO PARA CLIENTES, PROVEEDORES O TERCEROS- POLÍTICAS DE SEGURIDAD EMTELCO Las siguientes políticas de seguridad son aplicables a los clientes, proveedores y/o terceros, que tengan alguna relación

Más detalles

Industria de tarjetas de pago (PCI) Norma de seguridad de datos

Industria de tarjetas de pago (PCI) Norma de seguridad de datos Industria de tarjetas de pago (PCI) Norma de seguridad de datos Aplicabilidad de la norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS) en un entorno EMV Documento de guía Versión

Más detalles

Normativa de seguridad y uso de los recursos informáticos en la UPCT

Normativa de seguridad y uso de los recursos informáticos en la UPCT Normativa de seguridad y uso de los recursos informáticos en la UPCT Aprobada por: Consejo de Gobierno de la UPCT. Fecha: 7 de Noviembre de 2011. Resumen: La Política de Seguridad de la UPCT se aprobó

Más detalles

SEGURIDAD EN LA WEB.

SEGURIDAD EN LA WEB. SEGURIDAD EN LA WEB. - ELEMENTOS DE PROTECCIÓN: Firewall Elemento de protección que sirve para filtrar paquetes (entrada o salida) de un sistema conectado a una red, que puede ser Internet o una Intranet.

Más detalles

Información de seguridad en Línea

Información de seguridad en Línea Información de seguridad en Línea Qué es el phishing? El phishing es el nombre dado a la práctica de enviar correos electrónicos al azar que supuestamente afirman ser de una empresa autentica que opera

Más detalles

CUANDO LAS COMPUTADORAS

CUANDO LAS COMPUTADORAS Página 1-10 Seguridad en Internet CUANDO LAS COMPUTADORAS están conectadas a una red, debe considerarse con seriedad el riesgo de intrusión. Cuando la conexión está basada en Internet, miles de millones

Más detalles

CUESTIONES DE INFORMÁTICA DEL TEMA 3. LA SOCIEDAD DE LA INFORMACIÓN Y LA WEB 2.0.

CUESTIONES DE INFORMÁTICA DEL TEMA 3. LA SOCIEDAD DE LA INFORMACIÓN Y LA WEB 2.0. CUESTIONES DE INFORMÁTICA DEL TEMA 3. LA SOCIEDAD DE LA INFORMACIÓN Y LA WEB 2.0. 1. Explica qué es el protocolo TCP/IP El protocolo TCP/IP es el que permite a los ordenadores conectados a Internet gestionar

Más detalles

1. SEGURIDAD INFORMÁTICA. 1.1. Seguridad informática

1. SEGURIDAD INFORMÁTICA. 1.1. Seguridad informática 1. SEGURIDAD INFORMÁTICA 1.1. Seguridad informática Seguridad física. Se entiende como el conjunto de medidas y protocolos para controlar el acceso físico a un elemento. Aplicado a la seguridad informática

Más detalles

Redes Privadas Virtuales (VPN)

Redes Privadas Virtuales (VPN) Redes Privadas Virtuales (VPN) Integrantes: - Diego Álvarez Delgado - Carolina Jorquera Cáceres - Gabriel Sepúlveda Jorquera - Camila Zamora Esquivel Fecha: 28 de Julio de 2014 Profesor: Agustín González

Más detalles

GUIA ILUSTRADA: PC SECURITY PLUS SUITE Versión 06, 21-11-2013

GUIA ILUSTRADA: PC SECURITY PLUS SUITE Versión 06, 21-11-2013 GUIA ILUSTRADA: PC SECURITY PLUS SUITE Versión 06, 21-11-2013 Tabla de contenido: 1. PANEL INICIO MCAFEE:... 4 1.1 INICIO:... 4 2. CENTRO DE NAVEGACIÓN:... 5 2.1 CONFIGURACIÓN:... 6 2.1.1 SUSCRIPCIÓN:...

Más detalles

SIE - Firewall DMZ. Protección perimetral para su red local. 1. Importancia de los firewalls. 2. Arquitectura de la red

SIE - Firewall DMZ. Protección perimetral para su red local. 1. Importancia de los firewalls. 2. Arquitectura de la red Protección perimetral para su red local por ALBA Software SIE Firewall es un sistema pensado para proteger la red de su empresa de posibles ataques de Internet. El firewall actua de barrera separando la

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales Protección de confianza para entornos web, mensajería y puntos finales Presentación crea un entorno protegido para la web, mensajería y puntos finales contra las amenazas actuales más complejas de malware,

Más detalles

La arquitectura de join.me

La arquitectura de join.me Una descripción general técnica de la arquitectura segura y fiable de join.me. 1 Introducción 2 Descripción de la arquitectura 3 Seguridad de los datos 4 Seguridad de la sesión y del sitio web 5 Descripción

Más detalles

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente.

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. DEFINICIONES IMPORTANTES QUE DEBE CONOCER: Confidencialidad: hace referencia a que la información

Más detalles

INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación

INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación LABORATORIO INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL SonicWALL SRA 4200 Universidad de Alcalá Departamento de Ciencias de la Computación SonicWALL SRA 4200 SonicWALL

Más detalles

http://www.trendmicro.com/download/emea/?lng=es

http://www.trendmicro.com/download/emea/?lng=es Manual del usuario Manual del usuario Trend Micro Incorporated se reserva el derecho de efectuar cambios en este documento y en los productos que en él se describen sin previo aviso. Antes de instalar

Más detalles

Qué soluciones existen para proteger una red domestica por cable?

Qué soluciones existen para proteger una red domestica por cable? Qué soluciones existen para proteger una red domestica por cable? Introducción Una conexión de Internet de alta velocidad es ideal para la productividad. Dado que la conexión es permanente, puede acceder

Más detalles

9243059 Edición 1 ES. Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation

9243059 Edición 1 ES. Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation 9243059 Edición 1 ES Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation Cliente de VPN Guía de usuario 9243059 Edición 1 Copyright 2005 Nokia. Reservados todos los

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard) PCI / DSS (Payment Card Industry - Data Security Standard) Bogotá, Julio 9 de 2013 Aviso legal Estos materiales procuran efectuar una aproximación general hacia los productos y/o servicios ofrecidos por

Más detalles

Instituto Nacional de Tecnologías de la Comunicación CONSEJOS GENERALES DE SEGURIDAD

Instituto Nacional de Tecnologías de la Comunicación CONSEJOS GENERALES DE SEGURIDAD Instituto Nacional de Tecnologías de la Comunicación CONSEJOS GENERALES DE SEGURIDAD Julio 2007 SIEMPRE: 1. Manténgase informado sobre las novedades y alertas de seguridad. 2. Mantenga actualizado su equipo,

Más detalles

Seguridad en medios de pagos

Seguridad en medios de pagos Seguridad en medios de pagos Pablo L. Sobrero QSA / Security Assessor psobrero@cybsec.com Agenda Payment Card Industry - Security Standards Council (PCI-SSC) Qué es? Objetivos Estándares Ciclo de vida

Más detalles

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Seguridad Perimetral Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades

Más detalles

Seguridad Wi-Fi. Seguridad Wi-Fi

Seguridad Wi-Fi. Seguridad Wi-Fi Cuando Ud. se comunica a través de Internet usando una conexión cableada o inalámbrica, querrá asegurar que sus comunicaciones y ficheros tienen privacidad y están protegidos. Si sus transmisiones no son

Más detalles

Requisitos de control de proveedores externos

Requisitos de control de proveedores externos Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,

Más detalles

Capitulo 6 VPN y Firewalls

Capitulo 6 VPN y Firewalls 6. Antecedentes Los empleados móviles, las oficinas en casa y el telecommuter demandan la extensión de los niveles de servicio mas alla de la Intranet VPN es una red que en alguna parte pasa a través de

Más detalles

Sage CRM. 7.2 Guía de autoservicio

Sage CRM. 7.2 Guía de autoservicio Sage CRM 7.2 Guía de autoservicio Copyright 2013 Sage Technologies Limited, editor de este trabajo. Todos los derechos reservados. Quedan prohibidos la copia, el fotocopiado, la reproducción, la traducción,

Más detalles

REQUISITOS DE LA PCI-DSS

REQUISITOS DE LA PCI-DSS TRADUCCIÓN REQUISITOS DE LA PCI-DSS Versión 1.1 Lanzamiento: Septiembre, 2006 Preparado por: HQS International Contacto: Joseph M Handschu joseph@hqsintl.com JUNIO 2007 Construir y mantener una Red Segura

Más detalles

IT Essentials: PC Hardware and Software Version 4.0 Spanish Capítulo 16

IT Essentials: PC Hardware and Software Version 4.0 Spanish Capítulo 16 16.0 Introducción Este capítulo analiza los tipos de ataques que amenazan la seguridad de las computadoras y los datos que éstas contienen. Un técnico es responsable de la seguridad de los datos y las

Más detalles

Política de privacidad de Norton Mobile

Política de privacidad de Norton Mobile Durante más de dos décadas, los consumidores han confiado en Symantec y la marca Norton en todo el mundo para proteger sus dispositivos informáticos y los recursos digitales más importantes. Protegemos

Más detalles

OBJETIVOS DE APRENDIZAJE

OBJETIVOS DE APRENDIZAJE PLAN DE ESTUDIOS: SEGUNDO CICLO ESPECIALIDAD COMPUTACIÓN 4 to AÑO CAMPO DE FORMACIÓN: ESPECIALIZACIÓN ÁREA DE ESPECIALIZACIÓN: EQUIPOS, INSTALACIONES Y SISTEMAS UNIDAD CURRICULAR: ADMINISTRACIÓN DE SISTEMAS

Más detalles

Firewalls, IPtables y Netfilter

Firewalls, IPtables y Netfilter Firewalls, IPtables y Netfilter Dastugue, Juan Cristobal, Leandro Temario Políticas de diseño de un Firewall Definición Qué es un Firewall? Es un sistema o conjunto de sistemas, ubicado entre dos redes.

Más detalles

CAPÍTULO II USO Y RESPONSABILIDADES DE LA RED

CAPÍTULO II USO Y RESPONSABILIDADES DE LA RED CAPÍTULO II USO Y RESPONSABILIDADES DE LA RED Existen numerosas cuestiones que deben abordarse al elaborar una política de seguridad: 1. Quién esta autorizado para usar los recursos? 2. Cuál es el uso

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA Capítulo 5 POLÍTICAS DE SEGURIDADD INFORMÁTICA En este capítulo se describen las políticas de seguridad para optimizar el control del ISP Cap.5 Pág. 99 POLÍTICAS DE SEGURIDAD INFORMÁTICA La Seguridad informática

Más detalles

Seguridad en redes: TCP/IP, filtrado de tráfico y firewalls. Alberto Castro Rojas

Seguridad en redes: TCP/IP, filtrado de tráfico y firewalls. Alberto Castro Rojas Seguridad en redes: TCP/IP, filtrado de tráfico y firewalls EL64E Alberto Castro Rojas 1 Agenda Las redes locales y su conexión a distancias Dirección MAC y dirección IP Equipos de interconexión Los protocolos

Más detalles

Seguridad en redes -309-

Seguridad en redes -309- Problema 1. Teniendo en cuenta que una organización, conectada a Internet, desea controlar ciertas operaciones en unos determinados servicios y, además, ocultar las direcciones IP privadas utilizadas en

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Programa de estudio versión 1.0 The European Computer Driving Licence Foundation Ltd (ECDL Foundation) Third Floor Portview House Thorncastle Street Dublin 4, Ireland Tel: +353 1

Más detalles

ESET CYBER SECURITY PRO para Mac Guía de inicio rápido. Haga clic aquí para descargar la versión más reciente de este documento.

ESET CYBER SECURITY PRO para Mac Guía de inicio rápido. Haga clic aquí para descargar la versión más reciente de este documento. ESET CYBER SECURITY PRO para Mac Guía de inicio rápido Haga clic aquí para descargar la versión más reciente de este documento. ESET Cyber Security Pro proporciona protección de última generación para

Más detalles

Sophos Enterprise Console Guía de configuración de políticas

Sophos Enterprise Console Guía de configuración de políticas Sophos Enterprise Console Guía de configuración de políticas Versión: 5.2 Edición: septiembre de 2014 Contenido 1 Acerca de esta guía...4 2 Recomendaciones generales para las políticas...5 3 Configuración

Más detalles

Centro de Información de Seguridad PROTÉJASE DE LOS FRAUDES ELECTRÓNICOS En el BHD buscamos su seguridad Para el Banco BHD es de gran importancia velar por la seguridad en las operaciones financieras de

Más detalles

Router Teldat. Interfaz Web

Router Teldat. Interfaz Web Router Teldat Interfaz Web Doc. DM801 Rev. 10.80 Abril, 2011 ÍNDICE Capítulo 1 Introducción... 1 1. Accediendo a la configuración del router... 2 Capítulo 2 Interfaz Web... 5 1. Estructura... 6 2. Inicio...

Más detalles

Sophos Control Center Ayuda

Sophos Control Center Ayuda Sophos Control Center Ayuda Versión: 4.1 Edición: marzo de 2010 Contenido 1 Acerca de Sophos Control Center...3 2 Introducción a Sophos Control Center...4 3 Comprobar que la red se encuentra protegida...8

Más detalles

Software y Aplicaciones

Software y Aplicaciones Software y Aplicaciones 1. Consejo de Seguridad Informática ST04-006 Saber qué son los Parches Cuando los proveedores advierten vulnerabilidades en sus productos, a menudo largan parches para solucionar

Más detalles

RESOLUCIÓN JB-2012-2148

RESOLUCIÓN JB-2012-2148 RESOLUCIÓN JB-2012-2148 LA JUNTA BANCARIA CONSIDERANDO: Que en el título II De la organización de las instituciones del sistema financiero privado, del libro I Normas generales para la aplicación de la

Más detalles

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA Propósitos de este documento El objetivo del presente documento es establecer una metodología para la elaboración del Plan de

Más detalles

PCI DSS v 3.1 Un enfoque práctico para su aplicación

PCI DSS v 3.1 Un enfoque práctico para su aplicación PCI DSS v 3.1 Un enfoque práctico para su aplicación Presentada por: Ricardo Gadea Gerente General Assertiva S.A. Alberto España Socio/QSA Aclaración: Todos los derechos reservados. No está permitida la

Más detalles

Contenidos. 1 Protección de la información confidencial... 5. 2 Uso seguro de Internet... 8. 3 Navegación segura para los niños...

Contenidos. 1 Protección de la información confidencial... 5. 2 Uso seguro de Internet... 8. 3 Navegación segura para los niños... Contenidos 1. Activar las funciones... 3 1 Protección de la información confidencial... 5 1.1 Bloqueo remoto de su dispositivo... 5 1.2 Borrado remoto de su dispositivo... 5 1.3 Localizando el dispositivo

Más detalles

Alcance y descripción del servicio ANTIVIRUS IPLAN

Alcance y descripción del servicio ANTIVIRUS IPLAN Alcance y descripción del servicio ANTIVIRUS IPLAN 1. Introducción. El servicio de Antivirus IPLAN ofrece una amplia cobertura contra distintos tipos de detecciones, permitiendo de forma cotidiana, efectiva

Más detalles

Symantec Network Access Control Guía de inicio

Symantec Network Access Control Guía de inicio Symantec Network Access Control Guía de inicio Symantec Network Access Control Guía de inicio El software que se describe en este manual se suministra con contrato de licencia y sólo puede utilizarse según

Más detalles

SEGURIDAD EN INFORMÁTICA

SEGURIDAD EN INFORMÁTICA SEGURIDAD EN INFORMÁTICA LA SEGURIDAD Y SUS IMPLICACIONES Características principales de la seguridad en Internet: Confidencialidad. Sólo deben tener acceso a aquellas personas autorizadas para ello. Autentificación

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

Guía para la implementación de mejores prácticas de seguridad informática.

Guía para la implementación de mejores prácticas de seguridad informática. Guía para la implementación de mejores prácticas de seguridad informática. Es necesario que los usuarios incorporen buenas prácticas para proteger el entorno de información, y prevenir aún más la posibilidad

Más detalles

Pack Seguridad PC. Manual de usuario

Pack Seguridad PC. Manual de usuario Pack Seguridad PC Página 1 de 97 McAfee 2009 Índice 1. McAfee Online Security o Pack Seguridad PC... 10 2. McAfee Security Center... 10 2.1. Funciones de Security Center...10 2.1.1. Estado de protección

Más detalles